Я пытаюсь представить значение поля, содержащего пробелы. По-видимому, трудно найти регулярное выражение для этого случая (даже если вопрос вообще возможен).Splunk: Как извлечь поле, содержащее пробелы
Пример: бревенчатый бла сообщение = привет мир рядом = некоторый-значение бла
Поскольку Splunk использует пространство для определения следующего поля, чтобы начать это довольно сложная задача.
В splunk вы можете использовать группы для поиска, и я определяю более длинный узор, но использую только его часть, чтобы объединить их.
Образец выглядит. (? Ppatternforfield).. Возможно, это не синтаксически корректно, но похоже на то, как это выглядит. Вы можете использовать экстрактор, предоставляющий образцы, чтобы дать вам аналогичную конструкцию.
| rex field=_raw "message=(?<message>.*?)\s*\w*="
Вышеупомянутое будет захватывать все после =, до начала пробела перед ключевым словом до next =.
Если это возможно, что сообщение будет последним ключевым словом, а затем использовать это ...
| rex field=_raw "message=(?<message>.*?)\s*(\w*=|$)"
что ваш ожидаемый результат? – nu11p01n73R
В порядке. Я не знал, что могу найти образец и извлечь только его часть. –